Legal Watch nro 89 – marraskuu 2025. 

 

Eurooppalaisten digitaalisääntöjen yksinkertaistaminen: mitä voimme odottaa?

Kuinka pitkälle Euroopan komissio aikoo mennä pyrkimyksissään yksinkertaistaa eurooppalaista lainsäädäntökehystä?

Draghin raportin julkaisemisen jälkeen syyskuussa 2024 ja epävakaassa kansainvälisessä taloustilanteessa Euroopan unionin hallitus on moninkertaistanut toimenpiteitä teollisuuden hyväksi.

Äskettäin julkaistun ”Digital Omnibus” -paketin tarkoituksena on vakuuttaa yksityissektori digitaalialan oikeudellisista rajoituksista, mikä on kansalaisyhteiskunnan suuri kauhu, sillä se pelkää perusoikeuksien ennennäkemätöntä heikentymistä.

Komissio julkaisi virallisesti kaksi ehdotusta 19. marraskuuta, ”Digital Omnibus” ja ”Digital Omnibus on AI”, ja käynnisti digitaalisten taitojen arvioinnin.

Digitaaliteknologiaa koskeva ehdotus tuo muutoksia sekä yleiseen tietosuoja-asetukseen (GDPR) että tekoälyasetukseen ja sähköisen viestinnän tietosuojadirektiiviin. Teksti on tiivis; tässä on joitakin keskeisiä kohtia.

• • Sähköisen viestinnän tietosuojadirektiivin osalta

Komissio ehdottaa erityisesti muutoksia evästekäytäntöön. Tavoitteena on vähentää bannerien näyttökertoja ja antaa käyttäjille mahdollisuus antaa suostumuksensa yhdellä napsautuksella ja tallentaa asetuksensa selaimensa ja käyttöjärjestelmänsä keskitettyjen asetusten kautta. Tämä säännös on yksi vähiten kiistellyistä.

Tekstissä säädetään myös yhtenäisestä raportointirajapinnasta, jonka avulla yritykset voivat täyttää kaikki poikkeamailmoitusvelvoitteensa yhden suojatun portaalin kautta. Tavoitteena on yksinkertaistaa NIS2-direktiivin, yleisen tietosuoja-asetuksen ja digitaalisen toiminnan sietokyvyn asetuksen kilpailevia velvoitteita.

Pk-yritysten sekä pienten ja keskisuurten yritysten lakisääteisiä velvoitteita suunnitellaan höllennettävän dokumentaation, seuraamusten ja pilvipalvelusta toiseen siirtymistä koskevien sääntöjen osalta.

• • GDPR:n osalta

Ehdotus rajoittaa henkilötietojen määritelmää ottamalla käyttöön subjektiivisen lähestymistavan tietojen tunnistettavuuteen, mikä voisi sulkea tietyt pseudonymisoidut tiedot tai tunnistenumerot asetuksen soveltamisalan ulkopuolelle.

Arkaluonteisten tietojen määritelmää muutettaisiin siten, että se koskisi vain sellaisia tietoja, jotka paljastavat "suoraan" tietoja terveydestä, rodullisesta alkuperästä jne., sillä riskillä, että siitä suljettaisiin pois esimerkiksi sellaiset tiedot, jotka algoritmi voisi päätellä.

Ehdotuksella pyritään myös rajoittamaan yksilöiden oikeutta pyytää pääsyä omiin tietoihinsa ainoastaan "tietosuojatarkoituksiin".

Uusi "tieteellisen tutkimuksen" määritelmä voisi myös johtaa laaja-alaisiin poikkeuksiin GDPR:stä, mikä hyödyttäisi yksityistä sektoria: "kaikki innovaatioita tukeva tutkimus, kuten teknologinen kehitys ja demonstrointi", voitaisiin siten vapauttaa tiedonsaantiin ja käyttötarkoituksen rajoittamiseen liittyvistä velvoitteista.

Ehdotus sisältää muutoksia, jotka helpottavat automatisoitua päätöksentekoa ja sallivat henkilötietojen käytön tekoälyjärjestelmien kouluttamiseen ja käyttämiseen oikeutetun edun perusteella.

Tekstissä säädetään myös kuuden kuukauden siirtymäajasta tekoälyasetuksen 50(2) artiklan (avoimuusvelvoitteet) osalta.

Digitaalinen kokonaispaketti on avoinna kommenteille kahdeksan viikon ajan, ja kommentointiaikaa jatketaan päivittäin, kunnes ehdotus on saatavilla kaikilla EU-kielillä. Kommentointiaikaa on tällä hetkellä 29. tammikuuta 2026 asti.

Ehdotus seuraa sen jälkeen EU:n tavanomaisia lainsäädäntömenettelyjä Euroopan parlamentissa ja neuvostossa, joissa siitä käydään varmasti vilkasta keskustelua.

Tarkemmin sanottuna GDPR:n osalta jotkut maat ovat avoimia komission ehdotusten tarkastelulle, kun taas toiset, kuten Slovenia, Viro ja Itävalta, ovat jo ilmoittaneet, että niiden mielestä GDPR "ei vaadi lisämuutoksia tällä hetkellä".

Prosessiin sisällytetään myös Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun näkemykset. Vaikka nämä kaksi kantaa eivät ole sitovia, niiden odotetaan vaikuttavan jatkokeskusteluihin.

 

Alustavan raportin jälkeen, jossa arvioitiin ranskalaisten valmiutta maksaa verkkopalveluista ilman kohdennettua mainontaa, CNIL julkaisi 17. marraskuuta toisen osan, joka käsitteli ranskalaisten asennetta datansa kaupallistamiseen.

65 % vastaajista (%) ilmoitti olevansa halukas myymään dataansa. Yleisin arvio oli 10–30 euroa kuukaudessa, ja 28 % näistä vastaajista (%) piti tätä parempana.

Toisaalta 35 % yksilöistä ei halua myydä tietojaan hinnasta riippumatta ja ilmaisee periaatteellisen vastustavansa henkilötietojen kaupallistamista.

Tässä yhteydessä CNIL huomauttaa, että vaikka käyttöoikeus omiin tietoihin on mahdollista siirtää, "henkilötietojen 'rahallistaminen' eli omistusoikeuden siirtäminen niihin ei ole mahdollista nykyisen lainsäädännön puitteissa, koska henkilö ei voi luopua oikeuksistaan omiin tietoihinsa."

CNIL sakotti 20. marraskuuta 2025 ranskalaista Conde Nast publications -yritystä 750 000 eurolla, koska se ei noudattanut sovellettavia sääntöjä evästeiden sijoittamisesta "vanityfair.fr"-verkkosivustolla vierailevien käyttäjien päätelaitteille.

Yhtiölle oli jo lähetetty virallinen ilmoitus Noyb-yhdistyksen valituksen johdosta vuonna 2019, mutta se ei noudattanut ilmoitusta.

Sakko ottaa huomioon yrityksen vastaamattomuuden, asiaan liittyvien ihmisten lukumäärän ja erilaiset puutteet: suostumuksen hankkimatta jättämisen, käyttäjien tiedottamisen laiminlyönnin sekä suostumuksen epäämis- ja peruutusmekanismien puutteet.

CNIL määräsi 27. marraskuuta 2025 myös 1,5 miljoonan euron sakon American Express Carte France -yhtiölle evästeitä koskevien sääntöjen noudattamatta jättämisestä.

ANSSI julkaisi 26. marraskuuta raportin matkapuhelimiin kohdistuvasta uhasta.

Raportissa korostetaan hyökkääjien hyödyntämiä haavoittuvuuksia, jotka voivat kohdistua verkkoihin, käyttöjärjestelmään tai sovelluksiin, ja yksilöidään erityinen uhka: valtiollisten toimijoiden suorittamat vakoilu- ja valvontaoperaatiot.

Matkapuhelimet ovat myös ensisijainen kohde kyberrikollisille, jotka niitä vaarantamalla onnistuvat varastamaan uhriltaan rahaa.

Matkapuhelimia käytetään myös väärin yksityiseen valvontaan tai epävakauttamisoperaatioihin.

Raportissa annetaan myös käyttäjille suosituksia tietoturvasta.

Näitä ovat puhelimen säännöllinen sammuttaminen ja käynnistäminen uudelleen ilman uudelleenkäynnistystoimintoa, linkkien napsauttamatta jättäminen tai pyytämättömien viestien tiedostojen avaamatta jättäminen, QR-koodien kautta lähetettyjen linkkien avaamisen tarkkaavaisuus, käyttöjärjestelmäpäivitysten asentaminen, Wi-Fi- ja Bluetooth-liitäntöjen poistaminen käytöstä, kun niitä ei käytetä, ja julkisiin Wi-Fi-verkkoihin yhdistämisen välttäminen.

 

Euroopan unionin toimielimet ja elimet

EU-maiden edustajat sopivat 26. marraskuuta neuvoston kannasta lasten seksuaalisen hyväksikäytön ehkäisemiseen ja torjumiseen tähtäävään asetukseen.

Tekstin tarkoituksena on velvoittaa digitaalisen alan yritykset estämään lapsipornografian levittämistä ja lasten hyväksikäyttöä.

Toimivaltaisilla kansallisilla viranomaisilla on valtuudet velvoittaa yritykset poistamaan tiettyä sisältöä ja estämään pääsy siihen tai hakukoneiden tapauksessa poistamaan tiettyjä hakutuloksia.

Asetuksessa säädetään myös uuden eurooppalaisen viraston, Euroopan lapsipornografian keskuksen, perustamisesta. Sen tehtävänä on auttaa jäsenvaltioita ja verkkopalveluntarjoajia lain täytäntöönpanossa.

Neuvosto haluaa myös tehdä pysyväksi tällä hetkellä väliaikaisen toimenpiteen, jonka avulla yritykset voivat vapaaehtoisesti skannata palvelujaan lasten seksuaalisen hyväksikäytön varalta.

Vaikka teksti on vähemmän tunkeileva kuin edellinen versio, sen arvostelijat pitävät sitä silti hyökkäyksenä päästä päähän -salausta ja viestinnän luottamuksellisuutta vastaan.

Hankkeesta on vielä keskusteltava kolmikantaneuvotteluissa komission ja Euroopan parlamentin kanssa.

Euroopan komissio määräsi 5. joulukuuta X:lle 120 miljoonan euron sakon digitaalisten palveluiden lain (DSA) mukaisten avoimuusvelvoitteidensa laiminlyönnistä.

Puutteisiin kuuluvat sen "sinisen validoinnin" harhaanjohtava suunnittelu varmennetuille tileille, mainoshakemiston läpinäkyvyyden puute ja tutkijoille julkisen datan saatavuuden laiminlyönti.

Euroopan unionin tuomioistuin (CJEU) totesi 2. joulukuuta antamassaan venäläistä mediaa koskevassa päätöksessä, että markkinapaikan julkaisija on vastuussa alustallaan julkaistujen mainosten käsittelystä ja sen on tarkistettava ennen julkaisemista, sisältävätkö mainokset arkaluonteisia tietoja ja onko niiden käsittely GDPR:n mukaista.

1/ Markkinapaikan ylläpitäjä on vastuussa julkaistujen mainosten käsittelystä: useat tekijät oikeuttavat tämän luokittelun EU-tuomioistuimelle:

• Mainos on saatavilla vain verkossa alustan tarjoaman palvelun ansiosta.
• Julkaisija pyrkii omaan tarkoitukseensa, erityisesti kaupalliseen ja mainontaan, eikä se rajoitu tekniseen palveluun.
• Se määrittää olennaiset keinot: esitystavan, verkkojulkaisun keston, osiot, luokittelun ja jakelumenetelmät.
• Näin ollen operaattori ja mainostaja ovat yhdessä vastuussa mainosten käsittelystä.

2/ Rekisterinpitäjänä operaattorin on tunnistettava tietojenkäsittelyn mahdolliset riskit ja toteutettava tunnistettuun riskiin sopivia toimenpiteitä ja suojatoimia: EU-tuomioistuin toteaa, että operaattorin on alkuvaiheessa:

• Havaitsee, sisältääkö mainos arkaluonteisia tietoja.
• Tarkista, liittyvätkö nämä tiedot mainostajaan vai onko mainostajalla poikkeus, erityisesti asianomaisen henkilön nimenomainen suostumus.
• Kieltäydy julkaisemisesta, jos näitä ehtoja ei täytetä.

Osana turvallisuusvelvoitteitaan operaattorin on myös toteutettava toimenpiteitä arkaluonteisia tietoja sisältävien mainosten laittoman kopioinnin ja jäljentämisen rajoittamiseksi.

Euroopan unionin tuomioistuin antoi 20. marraskuuta päätöksen Policejní prezidium -tapauksessa, joka koski Tšekin poliisin käytäntöjä kerätä ja säilyttää loputtomiin kaikkien tahallisista rikoksista epäiltyjen henkilöiden biometrisiä ja geneettisiä tietoja.

Tavoitteena oli selvittää, edellyttääkö eurooppalainen poliisidirektiivi tapauskohtaista säilytyksen tarpeen arviointia, sallitaanko määräämättömät säilytysajat ja mitä oikeudellisia suojatoimia tulisi soveltaa näiden arkaluonteisten tietojen käsittelyyn.

Tuomioistuin ei havaitse periaatekieltoa, mutta asettaa joukon ehtoja: rekisterinpitäjän on noudatettava kaikkia arkaluonteisten tietojen käsittelyyn sovellettavia periaatteita ja erityisvaatimuksia, ja kansallisessa lainsäädännössä on asetettava asianmukaiset aikarajat näiden tietojen säilyttämisen ehdottoman välttämättömyyden säännölliselle tarkastelulle.

Euroopan unionin perusoikeusvirasto julkaisi 4. joulukuuta raportin, jossa käsitellään perusoikeuksien suojelua tekoälyn käytössä riskialueilla. Raportissa korostetaan näiden oikeuksien tuntemuksen puutetta.

 

Uutisia Euroopan unionin jäsenmaista.

Wienin alueellinen siviilioikeus katsoi, että EU:n ulkopuolelle sijoittautunutta rekisterinpitäjää vastaan nostettu kanne on annettava tiedoksi rekisterinpitäjälle eikä sen EU:ssa olevalle edustajalle.

Yleisen tietosuoja-asetuksen 27 artiklan mukainen ilmoitus edustajalle ei riitä, ellei kansallisessa prosessioikeudessa säädetä tästä vaihtoehdosta.

Kroatian tietosuojaviranomainen (APD) määräsi 14. marraskuuta teleoperaattorille rekisterinpitäjän ominaisuudessa yhteensä 4 500 000,00 euron hallinnollisen sakon henkilötietojen siirtämisestä kolmanteen maahan GDPR:n vastaisesti.

Siirto serbialaiselle alihankkijalle toteutettiin ilman pätevää laillista perustaa ja ilman avointa tiedottamista asianomaisille henkilöille, työntekijöiden henkilöllisyystodistusten ja rikosrekisteritodistusten kopioiden käsittelyä ilman laillista perustaa ja ilman alihankkijan asianmukaisia ennakkotarkastuksia.

Espanjassa sijaitseva Valencian kansainvälinen yliopisto on saanut 750 000 euron sakot kasvojentunnistuksen ja tekoälyn käytöstä tenttiin osallistujien tunnistamiseen ilman asianmukaista laillista perustetta.

Myös Espanjassa APD sakotti lääkäriasemaa 30 000 eurolla GDPR:n 5(1)(f) artiklan rikkomisesta, kun se paljasti noin 90 Whatsapp-ryhmän asiakkaan puhelinnumerot ja terveystiedot ilman etukäteistä suostumusta ja ilman riittäviä luottamuksellisuustoimenpiteitä.

Oikeus on myöntänyt yli 480 000 000 euroa korvauksia 87 espanjalaiselle medialle todettuaan, että Meta oli laittomasti käyttänyt sosiaalisissa verkostoissaan kerättyjä henkilötietoja luodakseen yksityiskohtaisia käyttäjäprofiileja ja tarjotakseen kilpailijoitaan tehokkaampaa personoitua mainontaa, saaden siten epäreilun kilpailuedun.

Tuomioistuin katsoi, että henkilötietojen käsittely on keskeinen kilpailutekijä digitaalitaloudessa ja että GDPR:n rikkomukset voivat olla epäreilua kilpailua, kun ne antavat merkittävän edun.

Italian tietosuojaviranomainen (APD) on määrännyt Bolzanon maakunnalle 32 000 euron sakon laittomasta liikennevalvontakameroiden verkoston ylläpidosta. Maakunnalla ei ollut pätevää oikeusperustaa henkilötietojen, erityisesti rekisterikilpien, käsittelyyn.

 

Yhdistyneessä kuningaskunnassa 73 akateemikkoa, lakimiestä, tietosuoja-asiantuntijaa ja kansalaisjärjestöä on pyytänyt kirjeessä parlamentin alahuoneelta tutkimusta Britannian tietosuojaviranomaisesta (ICO). Heidän kuvailunsa mukaan "valvontatoimenpiteiden romahdus" on seurannut erityisesti Afganistanin tietomurtoskandaalia.

He varoittavat "syvemmistä rakenteellisista vioista" tämän tietomurron lisäksi.

Tämä oli erityisen vakava tietovuoto afganistanilaisista, jotka olivat tehneet yhteistyötä brittijoukkojen kanssa ennen kuin Taliban otti maan hallintaansa elokuussa 2021, ja vaaransi niiden 100 000 ihmisen hengen, joiden nimet puolustusministeriö oli paljastanut.

ICO:ta kritisoidaan siitä, ettei se ole aloittanut virallista oikeusprosessia ministeriötä vastaan toistuvista puutteista huolimatta. 

Argentiinassa jotkut tuomioistuimet ovat viime kuukausina antaneet päätöksiä tekoälyn käytöstä asianajajien kirjelmissä ja lausunnoissa.

Tapauksissa oli mukana asianajajia, jotka sisällyttivät mukaansa oikeustapauslainauksia, jotka osoittautuivat vääriksi tai epätarkkoiksi tekoälyhallusinaatioiden vuoksi.

Aivan kuten erityisesti Yhdysvalloissa, Argentiinan tuomioistuimet ovat alkaneet arvioida asianajajien ammatillisen vastuun laajuutta: vaikka he toimisivatkin vilpittömässä mielessä, olemattomaan oikeuskäytäntöön viittaavien haasteiden esittäminen heikentää ammatin perusperiaatteita, kuten rehellisyyttä, uskollisuutta ja vilpittömyyttä, sellaisina kuin ne on esitetty Argentiinan eri lainkäyttöalueiden eettisissä säännöissä.

Tarkastetuissa tapauksissa tuomioistuimet päättivät olla määräämättä asianajajille suoria seuraamuksia.

He pitivät kuitenkin asianmukaisena tiedottaa paikallisille asianajajaliitoille tekoälyn käyttöön liittyvien riskien ja vastuiden tiedostamisen lisäämiseksi ja laajemman keskustelun edistämiseksi tekoälyn vastuullisesta käytöstä oikeuskäytännössä.

Australian hallitus on viimeisin, joka on julkistanut tekoälyn etenemissuunnitelman.

Harkittuaan turvallisuuteen keskittyvää strategiaa hallitus päätti lopulta painottaa investointeja ja taloutta.

Sen sijaan, että Australia ottaisi käyttöön pakollisia suojatoimia riskialttiissa ympäristöissä, se aikoo rakentaa "olemassa olevien vankkojen oikeudellisten ja sääntelykehyksien pohjalta".

Joulukuun 2. päivänä julkistettu kansallinen suunnitelma pyrkii parantamaan Australian mainetta tekoälyinvestointikohteena ja edistää tekoälyn laajamittaista käyttöä koko maassa, erityisesti julkisissa palveluissa.

Se kuvaa myös tekoälyn tietoturvainstituutin roolia tekoälyn ominaisuuksien, riskien ja vaarojen testaamisessa ja tiedon jakamisessa.

Myöskään Australiassa alle 16-vuotiaat lapset ja nuoret eivät saa enää käyttää sosiaalista mediaa 10. joulukuuta alkaen.

Alustojen on otettava käyttöön iänvarmistusmenetelmät.

Määräysten noudattamatta jättäminen voi johtaa jopa 28 miljoonan euron sakkoihin.

Tätä kieltoa voisi seurata muita: Euroopan parlamentti vaati 26. marraskuuta, että sosiaalisten verkostojen, videonjakoalustojen ja tekoälyavustajien käyttöikärajaksi asetettaisiin 16 vuotta kaikkialla Euroopan unionissa, samalla kun 13–16-vuotiaille sallittaisiin niiden käyttö vanhempien suostumuksella.

Vaikka mepit ilmaisivat tukensa komissiolle eurooppalaisen iänvarmistussovelluksen ja eurooppalaisen digitaalisen henkilöllisyyden lompakon (eID) suhteen, he vaativat, että iänvarmistusjärjestelmien on suojeltava alaikäisten yksityisyyttä.

Yhdysvalloissa enää kaksi viidestä komissaarista on jäljellä liittovaltion kauppakomissiossa (FTC).

Kolmannesta erosta, Melissa Holyoakin erosta, FTC ilmoittikin 17. marraskuuta 2025.

Tämä ero seuraa presidentti Trumpin päätöstä erottaa kaksi demokraattikomissaaria, jolloin republikaanikomissaareja on jäljellä enää kaksi.

Korkein oikeus on ottanut asian käsittelyyn, ja sen päätöksellä voi olla laajempia vaikutuksia presidentin valtaan itsenäisten virastojen suhteen.           

Yhdysvaltain tulli- ja rajavartiolaitoksen (CBP) 9. joulukuuta jättämän ehdotuksen mukaan matkustajien, kuten Britannian, Ranskan tai Etelä-Korean, jotka ovat Yhdysvaltain viisumivapausohjelman piiriin kuuluvia maita, on pian tehtävä sosiaalisen median toimintansa tarkastelu jopa viiden vuoden ajalta.

CBP aikoo myös pyytää hakijoilta pitkän luettelon henkilötiedoista, mukaan lukien heidän sähköpostiosoitteensa viimeisen kymmenen vuoden ajalta sekä heidän vanhempiensa, puolisoidensa, veljiensä, sisartensa ja lastensa nimet, syntymäajat, asuinpaikat ja syntymäpaikat.

Intian elektroniikka- ja tietotekniikkaministeriö julkaisi 13. marraskuuta 2025 vuoden 2023 digitaalisen henkilötietojen suojan lain täytäntöönpanosäännöt.

Nishith Desai Associatesin mukaan he määrittelevät läpinäkyvyyttä, suostumusta ja rekisteröintiä koskevat vaatimukset, velvollisuudet ilmoittaa tietomurron sattuessa, asianomaisten henkilöiden oikeudet ja tiedot Intian tietosuojaneuvostosta.